NT 커널 로거 추적 세션

NT 커널 로거 추적 세션은 Windows 커널 이벤트의 추적을 생성합니다. 또한 Windows에서 기본 제공되는 예약된 추적 세션입니다. 이 추적 세션을 별도로 실행할 수도 있고, 드라이버를 추적하는 동안 실행하여 드라이버가 실행되는 동안 Windows의 작업을 보여 줄 수도 있습니다. 커널 모드 드라이버나 사용자 모드 응용 프로그램 등의 추적 공급자는 이 추적 세션에 직접 기록할 수 없습니다.

이 추적 세션은 예약된 세션 이름인 "NT 커널 로거"를 사용하며, 공급자 GUID는 SystemTraceControlGuid 상수로 표현됩니다.

NT 커널 로거 세션을 만들려면 Tracelog 또는 TraceView를 사용합니다.

NT 커널 로거 세션 중에 추적되는 이벤트의 유형은 EVENT_TRACE_PROPERTIES 구조의 EnableFlags member 값으로 제어합니다. 이 구조는 Microsoft Windows SDK 설명서에서 설명합니다.

기본적으로 Tracelog는 NT 커널 로거 세션을 시작할 때 프로세스, 스레드, 실제 디스크 I/O 및 TCP/IP 이벤트의 추적을 사용합니다. 그러나 특정 이벤트 추적의 사용 여부를 다음과 같이 지정할 수 있습니다.

NT 커널 로거 공급자는 다른 추적 세션에 기록할 수 없으며, 다른 추적 공급자는 NT 커널 로거 추적 세션에 기록할 수 없습니다. NT 커널 로거 추적 세션을 시작할 때 -guid 매개 변수를 사용할 수 없으며, 표준 추적 세션에 대한 -guid 매개 변수에 NT 커널 로거 추적 세션의 GUID를 사용할 수 없습니다.

NT 커널 로거 추적 세션에서 오는 추적 메시지의 형식을 지정하려면 system.tmf 파일과 함께 Tracefmt를 사용합니다. 이 파일은 WDK에 포함되어 있습니다.

시스템 부팅 중에 커널 이벤트를 추적하려면 전역 로거 추적 세션(시스템 부팅 중 추적)을 NT 커널 로거 추적 세션으로 변환합니다. 자세한 내용은 부팅 시 전역 로거 세션을 참조하세요.

 

 

표시:
© 2014 Microsoft